SonicWall ищет 0-day в своих продуктах на фоне всплеска вымогательских атак

[Article Publisher]

Компания SonicWall предупредила своих клиентов о необходимости отключить SSL VPN, поскольку в последние недели вымогатели эксплуатируют потенциальную уязвимость в межсетевых экранах SonicWall 7-го поколения.

На прошлой неделе специалисты из компании Arctic Wolf сообщили, что с 15 июля 2025 года они зафиксировали уже несколько атак с применением вымогателя Akira, и предположили, что преступники могут использовать в атаках 0-day уязвимость в продуктах SonicWall.

«Методы, использованные для получения первоначального доступа в ходе этой кампании, пока не подтверждены, — писали исследователи. — Хотя существование уязвимости нулевого дня весьма вероятно, доступ к учетным данным путем брутфорса, словарных атак и credential stuffing пока тоже нельзя исключить во всех случаях».

Эксперты рекомендовали администраторам временно отключить службы SonicWall SSL VPN из-за высокой вероятности того, что в атаках используется связанная с ними уязвимость.

Позже специалисты компании Huntress подтвердили выводы коллег и опубликовали собственный отчет, содержащий индикаторы компрометации, собранные в ходе изучения этой кампании.

«Потенциальная уязвимость нулевого дня в VPN-службах SonicWall активно эксплуатируется для обхода многофакторной аутентификации и развертывания вымогательских программ, — предупреждает Huntress.

Специалисты тоже рекомендовали немедленно отключить VPN-службу или серьезно ограничить доступ с помощью списка разрешенных IP-адресов.

«Мы наблюдали, что злоумышленники переходят к атакам непосредственно на контроллеры доменов в течение нескольких часов после первоначального взлома», — предостерегали в Huntress.

В тот же день представители SonicWall подтвердили, что компании уже известно об этих атаках. Производитель опубликовал бюллетень безопасности, призывающий клиентов защитить свои межсетевые экраны от продолжающихся атак следующим образом:

• отключить службы SSL VPN, когда это возможно;
• ограничить SSL VPN-подключения доверенными IP-адресами;
• включить защиту, включая защиту от ботнетов и гео-фильтрацию IP-адресов для выявления и блокировки известных угроз;
• использовать многофакторную аутентификацию для всех случаев удаленного доступа, чтобы минимизировать риски злоупотребления учетными данными;
• удалить неиспользуемые аккаунты.

«В последние 72 часа наблюдается заметный рост количества как внутренних, так и внешних сообщений о киберинцидентах, связанных с межсетевыми экранами SonicWall 7-го поколения, где включен SSL VPN, — заявили в компании. — Мы тщательно изучаем эти инциденты, чтобы определить, связаны ли они с какой-то ранее обнаруженной уязвимостью или же причиной может быть новая уязвимость. Пожалуйста, сохраняйте бдительность и немедленно примените вышеперечисленные меры, чтобы снизить риски, пока мы продолжаем расследование».